Investigadores: la vulnerabilidad de PDF en cero días afecta a Adobe Reader 11, versiones anteriores

Investigadores de la firma de seguridad FireEye afirman que los atacantes están utilizando activamente un exploit de ejecución remota de código que funciona en contra de las últimas versiones de Adobe Reader 9, 10 y 11.

"Hoy, identificamos que se está explotando una vulnerabilidad [de día cero] PDF en la naturaleza, y observamos la explotación exitosa en la última versión de Adobe PDF Reader 9.5.3, 10.1.5 y 11.0.1, "los investigadores de FireEye dijeron el martes por la noche en una publicación de blog.

El exploit descarta y carga dos archivos DLL en el sistema. Un archivo muestra un mensaje de error falso y abre un documento PDF que se usa como señuelo, dijeron los investigadores de FireEye.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

Los exploits de ejecución de código remoto causan programas para bloquear. En este contexto, lo más probable es que el mensaje de error falso y el segundo documento se utilicen para engañar a los usuarios y hacerle creer que el bloqueo fue el resultado de un mal funcionamiento y el programa se recuperó correctamente.

Mientras tanto, el segundo DLL instala un componente malicioso que llama de nuevo a un dominio remoto, dijeron los investigadores de FireEye.

No está claro cómo se administra el exploit PDF en primer lugar -por correo electrónico o en la Web- o quienes fueron los objetivos de los ataques que lo usaron. FireEye no respondió de inmediato a una solicitud de información adicional enviada el miércoles.

"Ya hemos enviado la muestra al equipo de seguridad de Adobe", dijeron los investigadores de FireEye en la publicación del blog. "Antes de obtener la confirmación de Adobe y un plan de mitigación disponible, le sugerimos que no abra ningún archivo PDF desconocido".

El Equipo de respuesta a incidentes de seguridad de productos de Adobe confirmó el martes en una publicación de blog que está investigando una informe de una vulnerabilidad en Adobe Reader y Acrobat XI (11.0.1) y versiones anteriores que se están explotando en la naturaleza. Según el equipo, el riesgo para los clientes está siendo evaluado.

En respuesta a una solicitud de actualización de estado enviada el miércoles, Heather Edell, gerente senior de comunicaciones corporativas de Adobe, dijo que la compañía aún está investigando.

Sandboxing es una técnica antiexplotación que aísla las operaciones confidenciales de un programa en un entorno estrictamente controlado para evitar que los atacantes escriban y ejecuten código malicioso en el sistema subyacente, incluso después de explotar una vulnerabilidad de ejecución remota de código tradicional en el código del programa.

explotar contra un programa de espacio aislado tendría que aprovechar múltiples vulnerabilidades, incluida una que permite que el exploit escape del entorno limitado. Estas vulnerabilidades de bypass de sandbox son raras, porque el código que implementa el sandbox real suele revisarse cuidadosamente y es bastante pequeño en comparación con la base de código general del programa que podría contener vulnerabilidades.

Adobe agregó un mecanismo sandbox para aislar las operaciones de escritura llamadas Protected Modo en Adobe Reader 10. La zona de pruebas se amplió para cubrir operaciones de solo lectura también en Adobe Reader 11, a través de un segundo mecanismo llamado Vista protegida.

"Antes de la introducción de la zona de pruebas, Adobe Reader era una de las aplicaciones de terceros más buscadas por ciberdelincuentes", Bogdan Botezatu, analista de e-threat en antivirus el vendedor BitDefender, dijo el miércoles por correo electrónico. "Si esto se confirma, el descubrimiento de un agujero en la caja de arena será de crucial importancia y definitivamente será explotado masivamente por los ciberdelincuentes".

Botezatu cree que eludir el entorno limitado de Adobe Reader es una tarea difícil, pero esperaba que esto sucediera en algún momento debido a que la gran cantidad de instalaciones de Adobe Reader hacen que el producto sea un objetivo atractivo para los ciberdelincuentes. "No importa cuánto inviertan las empresas en las pruebas, todavía no pueden garantizar que sus aplicaciones estén libres de errores cuando se implementan en máquinas de producción", dijo.

Desafortunadamente, los usuarios de Adobe Reader no tienen muchas opciones para protegerse a sí mismos si el salvavidas de bypass de espacio aislado realmente existe, excepto por ser extremadamente cuidadoso con los archivos y enlaces que abren, dijo Botezatu. Los usuarios deberían actualizar sus instalaciones tan pronto como haya un parche disponible, dijo.